AUDYTY BEZPIECZEŃSTWA INFORMACJI

  • AUDYT ZABEZPIECZEŃ STYKU SIECI LOKALNEJ I INTERNETU
  • AUDYT BEZPIECZEŃSTWA INFRASTRUKTURY ORAZ SERWERÓW
  • AUDYT KOPII ZAPASOWYCH
  • ANALIZA ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH ZGODNIE Z UODO
  • ANALIZA WYKORZYSTANIA SPRZĘTU KOMPUTEROWEGO
  • AUDYT ZAINSTALOWANEGO OPROGRAMOWANIA
  • WERYFIKACJA ŚWIADOMOŚCI W ZAKRESIE BEZPIECZEŃSTWA INFORMATYCZNEGO

OBOWIĄZEK PRZEPROWADZANIA AUDYTÓW BEZPIECZEŃSTWA
Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych wprowadza liczne wymagania, między innymi obligując odpowiednie jednostki administracji publicznej do:

  • realizowania corocznych, wewnętrznych audytów bezpieczeństwa
  • szkoleń z zakresu bezpieczeństwa informatycznego.

Rozporządzenie to jest aktem wykonawczym do Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne


WSPÓLNE STANOWISKO DEPERTAMENTU INFORMATYZACJI MAIC I DEPARTAMENTU AUDYTU SEKTORA FINASÓW PUBLICZNYCH MF
Odnośnie do zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji

„Kierownik jednostki podejmując decyzję o powierzeniu komórce audytu wewnętrznego realizacji audytu wewnętrznego w zakresie bezpieczeństwa informacji powinien brać pod uwagę, czy pracownicy komórki audytu wewnętrznego posiadają odpowiednie kwalifikacje, doświadczenie oraz znajomość metodyki prowadzenia audytu w obszarze bezpieczeństwa informacji. W przypadku, gdy zespół audytu wewnętrznego nie będzie posiadał kompetencji do objęcia badaniem ww. obszaru, należy rozważyć skorzystanie z pomocy ekspertów z wewnątrz lub z zewnątrz jednostki.


CZYM JEST AUDYT IT?
AUDYT IT jest skutecznym narzędziem weryfikującym poziom bezpieczeństwa informatycznego jednostki. Jest to złożony proces obejmujący swym zakresem zebranie kompletnych informacji dotyczących zabezpieczeń, zasobów sprzętowych, zainstalowanego oprogramowania, wykorzystania komputerów i łącza internetowego oraz przestrzegania procedur wewnętrznych (np. związanych z przetwarzaniem danych osobowych) w jednostce.


CZEMU SŁUŻY AUDYT?
Audyt weryfikuje wszystkie aspekty bezpieczeństwa informatycznego. Analiza wyników poszczególnych elementów audytu i zależności między nimi daje pełny obraz problemu, pozwala dobrać stosowne zalecenia i w konsekwencji zwiększyć efektywność procesów zachodzących w jednostce.

Dzięki niemu odpowiemy między innymi na następujące pytania:

  1. Czy jednostka jest podatna na ataki hakerskie?
  2. Czy na zainstalowane na komputerach oprogramowanie posiadają Państwo licencje?
  3. Czy kopie zapasowe wykonywane przez dział IT umożliwiają odzyskanie danych w przypadku awarii?
  4. Czy sprzęt komputerowy, zakupiony np. w ramach projektów UE wykorzystywany jest optymalnie?
  5. Czy pracownicy wykorzystują powierzony im sprzęt komputerowy zgodnie z jego przeznaczeniem?
  6. Czy respektowane są procedury bezpieczeństwa informacji w jednostce?

AUDYT NALEŻY WYKONAĆ, GDY:

  • Audyt w tym zakresie nie był jeszcze wykonywany.
  • Istnieją przesłanki, że sieć komputerowa i komputery mogą być skonfigurowane niewłaściwie.
  • Został zwolniony lub odszedł z pracy informatyk.
  • Zachodzi podejrzenie, że na komputerach pracowników znajdują się filmy lub muzyka.
  • Nie ma procedur dotyczących użytkowania komputerów oraz administrowania systemem informatycznym.
  • Jednostka przeszła informatyzację ze środków UE.
  • Pracownicy mają pełny (nieograniczony) dostęp do komputerów.

7 KROKÓW
ELEMENTÓW AUDYTU BEZPIECZEŃSTWA INFORMATYCZNEGO

1. Audyt zabezpieczeń styku sieci lokalnej i Internetu

Z naszego doświadczenia

  • 60% audytowanych podmiotów nie posiada poprawnie wdrożonych mechanizmów ochrony sieci. Większość z nich posiada profesjonalny sprzęt natomiast jego konfiguracja jest niepoprawna i niewystarczająca.

Konsekwencje

  • Błędy i uchybienia w tym aspekcie powodują realne straty finansowe – 72 332,00 zł straciły dwa Urzędy na Lubelszczyźnie na skutek ataków hakerów z USA i Chin.

2. Audyt bezpieczeństwa infrastruktury oraz serwerów

Z naszego doświadczenia

  • Hasła dostępu do kluczowych urządzeń/serwerów są domyślne lub słownikowe.
  • W audytowanych podmiotach jest brak polityki zabezpieczenia haseł administracyjnych, skutkiem czego po odejściu informatyka jednostki nie posiadają haseł dostępu do kluczowych urządzeń/serwerów.
  • Jednostki posiadają kosztowne serwery, ale nie są one wykorzystywane, a większość baz danych znajduje się na lokalnych komputerach.
  • Kosztowne rozwiązania serwerowe (zakupywane głównie ze środków unijnych) nie są poprawnie wdrożone.
  • Zakup kolejnych rozwiązań sprzętowych bez istotnej rekonfiguracji sieci nie poprawia bezpieczeństwa a jedynie zwiększa awaryjność.
  • Punkty dostępowe do Internetu (hot spot) umożliwiają łatwy dostęp do zasobów jednostki.

Konsekwencje

  • Brak kontroli nad bezpieczeństwem jednostki spowodowany brakiem haseł dostępu do kluczowych urządzeń.
  • Brak wdrożenia właściwych rozwiązań serwerowych uniemożliwia poprawne administrowanie siecią oraz skuteczne wykonywanie kopii danych.
  • Możliwość łatwego dostępu do sieci lokalnej z sieci bezprzewodowych osobom nieupoważnionym.
  • Zwrot dofinansowania z UE w przypadku nie wykorzystywania zakupionych w ramach projektów rozwiązań.

3. Audyt kopii zapasowych

Z naszego doświadczenia

  • 85% audytowanych podmiotów nie wykonuje kopii danych lub nie jest w stanie odtworzyć ich z kopii zapasowych.
  • Dysk twardy jest najczęściej psującym się elementem komputera – roczny wskaźnik wymiany dysków twardych jest na poziomie od 2% do 4% (w zależności od firmy), a skrajnie dla pewnych modeli nawet 13%.

Konsekwencje

  • Paraliż funkcjonowania jednostki spowodowany utratą kluczowych baz danych.
  • Koszty odzyskiwania baz danych z uszkodzonych dysków twardych realizowane przez profesjonalne firmy zaczynają się od 10 tys. zł, a często znaczenie przekraczają 20 tys. Pomimo znacznych nakładów finansowych często odzyskanie danych nie jest możliwe. Czas odzyskiwania danych to 1-2 miesięcy.

4. Analiza zgodności przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych

Z naszego doświadczenia

  • 70% audytowanych podmiotów nie posiada aktualnej polityki bezpieczeństwa informacji oraz innych dokumentów wymaganych przez ustawę o ochronie danych osobowych.

Konsekwencje

  • Naruszenie art. 36 do 39a ustawy o ochronie danych osobowych.

5. Analiza wykorzystania sprzętu komputerowego

Z naszego doświadczenia

  • Pracownicy bardzo często korzystają z sieci Internet w godzinach pracy w celach prywatnych. Najczęściej odwiedzają: facebook.com, allegro.pl, youtube.com, otomoto.pl, pudelek.pl, aleseriale.pl.

Konsekwencje

  • Podmiot liczący 30 komputerów traci w stali roku średnio 135 tys. zł na korzystanie z sieci Internet w celach nie związanych z pracą.
  • Podmiot rekordzista spędził w Internecie 4,5h dziennie (średnio na użytkownika), co przy 30 komputerach daje roczną kwotę 607,5 tys. zł.

6. Audyt zainstalowanego oprogramowania

Z naszego doświadczenia

  • 80 % użytkowników pracuje na komputerach z uprawnieniami administratora, co umożliwia instalowanie dowolnego oprogramowania w tym pirackiego.
  • 1 na 3 audytowane komputery posiada materiały multimedialne (filmy i pliki muzyczne) chronione prawem autorskim.

Konsekwencje

  • Odpowiedzialność karna za nielegalne oprogramowanie – art. 278 §2 KK (od 3 miesięcy do 5 lat pozbawienia wolności).
  • Odpowiedzialność karna za paserstwo art. 293 § 1 KK (od 3 miesięcy do 5 lat pozbawienia wolności, a gdy wartość mienia przekracza 200 tys. art. 294§1 KK od 1 roku do 10 lat pozbawienia wolności).
  • Zwrot dofinansowania z środków UE – dyrektywa 2004/48/WE Parlamentu Europejskiego
    i Rady z dnia 29 kwietnia 2004r. w sprawie egzekwowania praw własności intelektualnej uprawnia kontrolerów do sprawdzania projektów i audytu legalności oprogramowania w ciągu 5 lat od zakończenia inwestycji.

7. Przeprowadzenie badań – ankiet na użytkownikach w celu weryfikacji wiedzy oraz świadomości w zakresie bezpieczeństwa informatycznego

Z naszego doświadczenia

  • Ponad połowa pracowników archiwizuje swoje służbowe dane na nośnikach przenośnych, które są wynoszone poza jednostkę. Zagubienie takiego pendrive’a lub dysku może doprowadzić do wycieku istotnych danych, a nawet do naruszenia wizerunku firmy.
  • Pracownicy nie mają świadomości trwałego kasowania danych.
  • 54% pracowników nie respektuje polityki bezpieczeństwa informacji w jednostce.
  • Więcej niż połowa pracowników używa jednego hasła do większości usług (komputer, poczta służbowa, portale społecznościowe).

Konsekwencje

  • Wyciek informacji poprzez niewiedzę lub naiwność pracowników (ataki socjotechniczne).